10大高能安全面试问题及其应答攻略

任何经历过面试的人都知道，想要成功获取一个职位的关键之一就是能够准确有效地回答出面试官的问题，而不是像机器一样照本宣科。这一点对于高级管理人员而言同样也不例外。事实上，鉴于这些高级管理岗位的重要性，及其对思维和反应方面的极高要求，能够提前对面试中可能遇到的尖锐问题做好应答准备是十分必要的。

[[228051]]

一些安全管理人员和招聘专家，就应聘者可能会遇到的具有挑战性的问题给出了一些例子；同时，他们也对这些问题针对性地给出了应答建议。

1. 为什么现在对你来说是更换职位的正确时机?

Blackmere咨询公司负责专职招聘信息安全专业人士的人事主管Domini Clark表示，更换工作说白了就是有关动机和适当时机的问题。

我需要尽早地了解激励一个人跳槽的动力是什么，以及是何等机缘让他选择勇敢地迈出跳槽这一步。你是否因为领导是个微观管理者(事必躬亲，什么小事都要管)而恨他?你是否因为错过了孩子成长的头三年而对出差工作感到厌倦?当被问及为什么离开原来的岗位时，有时候人们会选择逃避这些因素。

Clark继续补充道，“我需要知道压死骆驼的最后一根稻草究竟是什么?只有这最后一根稻草才是触动他离职的导火索，其他答案都并非决定因素的掩饰而已。”

2. 在这个竞争日益激烈的市场中，你将如何为我们的组织招聘并留住高级的安全专业人才?

网络安全行业的每个人都知道，想要寻找到技能娴熟的安全专业人才是多么困难的工作。招聘人员可能会想要知道你将如何应对这一挑战。

咨询公司SoCal隐私顾问的副总裁兼首席安全顾问Paul Boulanger表示，建议建立一个内部指导和培训计划。公司可以通过为在职员工提供培训和认证的方式，让他们不断增强个人能力，并在企业内部发展职业道路。毕竟，无论是企业还是个人都希望能够稳定发展，扎稳根基;如果企业能够为个人提供职业道路发展可能，那么不管是对企业还是员工益大于弊的举措。

Boulanger解释称，“我希望能够避免员工长期处在一个岗位而产生的职业倦怠感，通过培训能够实现员工的工作轮换。员工能够因为学习到新技术而保持这种职业新鲜感。这一点我们已经在DevOps /敏捷运动中得到了验证。现在，我们也应该在安全领域实践这一操作，它会为我们呈现出员工更好的一面。”

3. 你参与的安全项目是否有失败过?如果有，造成失败的原因是什么?有机会重来你会做出哪些改变?

美国科罗拉多州州长办公室的首席信息安全官(CISO) Deborah Blyth表示，通过这个问题，面试官想要了解应聘者可以从过去的失败经历中学习到哪些经验教训。

通常情况下，安全项目失败的原因是没有足够的买入来支持项目运转，或是没有充足的计划和准备来处理用户的不良使用体验。你必须要提前思虑周全所有可能遇到的问题，并做好充足的应对措施才能确保项目更好地完成。

这些准备可能包括：组织更广泛的试点小组;在每个地点培训多名支持该项目的安全专家以帮助用户处理问题;为项目执行主管及其行政助理提供“白手套服务”，于细节处体现其专业性。 Blyth表示，“也许花些时间与其他业务领域的一些领导进行一对一的沟通，倾听他们的诉求和担忧，并探讨如何支持可能面临的各项问题，能够有助于增加未来项目的买入率。”

4. 你是否经历过违规事件?

健康相关技术产品供应商FEI Systems公司首席隐私官兼首席安全官(CSO)Jason Taule表示，面试官会问这个问题是可以理解的。他说，“但是我认为这是一个非常棘手的问题，因为它没有所谓的正确答案，重点在于如何措辞。如果你回答‘是’，你作为首席安全官的能力可能会受到质疑，毕竟，有谁愿意承认在自己手里发生过违规事件，但是面试官也能够体谅，再好的防御仍然无法做到无懈可击，网络攻击无孔不入，很多时候首席安全官们尽了最大的努力仍然无法阻止其发生。”

另一方面，如果你给出了“否”的答案，可能意味着你的经验有限，没有经历过足够的失败历练，无法驾驭公司面临未来的挑战。

对此，Taule的建议是：承认违规行为似乎是很难避免的，然后谈论自己成功组织过的早期异常检测和有效的事件响应项目的经历，并描述自己从违规事件中获取的经验教训。但需要注意的是，在此描述的违规事件一定要是无关紧要的，而不是已经造成严重损害的事件。

5. 你有没有偷盗过任何东西?

Taule表示，对于任何员工而言，信任都是最重要的品格。而对于负责监督组织隐私、风险以及信息安全管理职能的人员来说，这种诚信则显得尤为重要。

Taule表示，“这个问题同样很难回答，因为应聘者通常认为自己给出了令人信服的答案，而事实往往并非如此。要相信，大多数人都或多或少地偷过一些什么东西——我的意思是，谁没有一不小心从办公室装过一两只笔回过家。对于这个问题，大多数应聘者给出的答案是肯定的。”

Taule并不是建议任何人说谎，如果他们过去确实偷了某些东西的话。他说，“如果你做过就勇敢承认，并坚定地表示那些都已经是过去的事了。但是，不管你信不信，总有人从来没有偷过任何东西，对于这类人，你只需要坚定地回答，‘不!我没有偷过任何东西!’”

6. 你做大的成就是什么?你为什么以此为傲?

Blyth表示，要注意你所说的事情与企业利益是否存在关系。例如，如果你谈及曾经成功组织过的一个项目，你需要指出自己在项目中建立起来的关系网，而这些关系可以帮助未来的公司推动项目实施。

再或者，你也可以举例说明自己是如何帮助公司提高效率的。比如整合安全工具或服务，以增强企业安全性，同时每月为公司节省大笔维护费用等等。

7. 你推荐我们为XX工作使用的安全产品是什么?

Taule表示，这种问题可以有很多种表现形式，具体取决于招聘企业想要评估应聘者什么方面的内容。

他解释称，“高级安全主管通常身兼多职，包括销售人员、安全顾问、解决方案架构师以及项目经理等等。但是任何一个曾经担任过上述其中一个职位的人都知道，这个问题就是一个巨大的陷阱。因为无论是组织、运营、财务、政治还是文化，都涉及太多的因素，根本不存在最佳的解决方案来处理企业面临的任何业务问题。作为回应，我建议应聘者可以专注于具体目标，并分享过去自己应用过的不同解决方案的经历。”

8. 在你任职的前90天内，你的优先事项是什么?

Blyth表示，你的回答应该更偏重于与同事建立关系，激发对于同事和团队的信心，而不是急于求成地追逐实现最大的安全成就。

他解释称，“你可以谈谈自己将如何与行政领导和同事间进行一对一会面，以了解他们的优先事项，以及如何将这些优先事项与安全工作相融合来为他们提供支持。接下来，你可以谈谈自己将采取的具体步骤，以确保自己有一个完整的业务蓝图，这样你才能够更好地理解自己的角色，以及如何利用该角色支持和实现业务。”

9. 你理想的下一步是什么?

Clark表示，“每个人的脑海中可能都会时不时地跳出这样一个想法，下一步将会发生怎样伟大的事情，以及它将与当前的情况有多么不同。这这种理想化的画面中，草不仅更绿色，甚至还有彩虹条纹和草莓气息。”

通常情况下，人们在解释自己的“理想化”时总是期待与失落并存，毕竟，“理想化”终究只是理想，没有人真的愿意被告知，草永远不可能是彩虹色以及充满草莓香味的。然而，这种有关“理想”的谈话可以让面试者了解应聘者对于未来的期待，特别是薪酬方面的期待。通过这个问题可以帮助招聘主管了解应聘者是否真正考虑了从现状到“理想”的过程。

10. 你将如何为公司创造价值，并持续保持自身的竞争力?

Boulander表示，这个问题需要分两步应答。第一步，让我们先了解利益相关者及其具体需求，并确保自身能够满足其要求。建立良好的管理将有助于确保自身从业务角度出发来持续满足这些需求。作为新来的首席信息安全官，你所采取的任何举措都需要解决这些需求。

第二步，应该对安全高管进行持续培训，以确保安全工具和技术能够及时更新。培训不仅仅需要落实在新人加入时，也需要根据威胁环境的变化进行更新。公司不能指望一旦实施了某项解决方案之后就将其永远持续下去。工具需要进行评估、升级甚至迭代替换，以满足业务发展和利益相关者的需求。好的管理可以帮助弥合人员方面的任何变化，而你需要做的就是帮助企业建立良好的管理措施。